10秒で衝突するUUIDの作り方

11/25(月) LT Party presented by GeekHub (大阪) エンジニア向けゆるいフリーテーマLT大会!

[kawasin73]

乱数を発生させる関数の使い方が正しくないという話。UUID に罪はないような・・・。

[kurouron2016]

UUIDの生成アルゴリズムに偏りがあってそのハック方法だと思って期待したおれの気持ち返してくれ

[little_hands]

UUIDの話ではなかった

[n314]

PHPのmt_randと似たような話かなと思ったらmt_randそのものの話だった

[taruhachi]

シードが初回起動時のマイクロタイムで設定される言語をLambdaで使ってて、いうても被らへんやろと思ってたら起動済み状態のシード値を保持したままのコンテナのコピーが大量に起動してやらかした事がある。

[napsucks]

CGI全盛でロクなライブラリもなかった時代に乱数で苦労したな。いくらいい乱数を使ってもプロセス起動時に毎回シード初期化してたらそれで偏る。結局乱数を大量生成してファイルに保存して少しずつ使うことにした。

[n_1215]

擬似乱数全てが悪いわけではなく、利用する関数が暗号論的擬似乱数生成器であれば構わないのではないのですか先生

[posmaru1]

DBのUUID生成機能使えばいいと思うよ

[t-murachi]

一意であればいい (暗号論的に予測不可能である必要はない) んであれば、そも時刻と乱数の組み合わせにしてマイクロ秒ずれれば確実に異なるような値にしません? (´・ω・`)

[ikaro1192]

自分でUUID生成を下手に書くとUUIDではなく乱数の性質に依存したものができちゃいますよってお話。

[zyzy]

乱数が関わる奴下手に自分で書くのアカンという話だった。

[kat21]

まあ妥当

[theatrical]

Uuidフォーマットのuuidじゃないものの話

[z1h4784]

マニュアルでもしっかり警告されているのに読まずに使っちゃう人が絶えない https://www.php.net/manual/ja/function.uniqid.php

[hirorock]

uuidが衝突しているのてまは無いから、悩むくらいなら先にライブラリ使ってねというお話。まだ衝突してないけど理由がわかりました。

[Vorspiel]

なるほど。UUIDがーというより、たった32bitのシードでは2^16回でバースデーアタック食らうで、って話

[takeda25]

https://docs.oracle.com/javase/jp/8/docs/api/java/util/UUID.html#randomUUID-- Javaでも擬似乱数を使ってる。（もう書かれてるけど）擬似乱数が悪いわけじゃなくて、暗号論的擬似乱数生成器を使わないとダメってことだよね。

[sin20xx]

この例示の問題点はそもそもUUIDの生成ロジックがヤバいのと、乱数の発生自体の方法も誤用というダブルのミスを前提としている点。いないとは言わないがおそらくこのレベルの人は別言語でもやらかす人かと思われる。

[masa_iwasaki]

例に出てくる衝突しやすさの話が感覚的にわかる話になっていてすごい。

[nakag0711]

Windows APIはどうなってるのかね

[tattyu]

乱数の周期が短かったらダメってのは言われてみればそうだよなって思った。逆に言われないと気が付かないかも。

[satomi_hanten]

自分で書かんがなめんどくさい。んでライブラリが疑似乱数使ってて事故るのな（笑い事ではないし実例もあるよな

[tyru]

あかん

[hevohevo]

UUIDにもphpのmt_rand()みたいなお話があるの？　→ まさしくmt_rand()の話でした

[UDONCHAN]

へーへーへー

[koji28]

タイトルの出落ち感はなかなかのもの(´・ω・`)

[junglejungle]

RFCにコードごと載っているのにそもそも自作する必要ある？乱数についてはRFC1750を読めって書いてるよ。

[mztns]

あ、はい

[dot]

UUID関係ないやんけ

[rti7743]

乱数シード同じにしたらそりゃぶつかるよなあ。ただ32bit値のシードでも結構ぶつかるんだな。

[Kil]

これは俺の知ってるUUIDじゃない……。

[rryu]

UUIDv4の生成には122ビットの乱数が必要になるが、使用する乱数や乱数のシードの精度が足りないと簡単に衝突するという話。

[marmot1123]

パスワードハッシュで有名な話と同値なのでは。自分で書くな、ライブラリを使え。

[gfx]

擬似乱数を使うとすぐ衝突するからUUIDv4実装を擬似乱数で実装するなって話

[cubed-l]

「そりゃダメだろ」って言えるような人ばっかりじゃないからね

[bYMQ]

UUIDではなく乱数の話でしたw

[holyshared]

UUIDのせいじゃないやん